Regla de recopilación para evento con origen EntidadDeCertificación e id. 96

Resumen

Los servicios de certificados de Active Directory (AD CS) requieren certificados de Key Recovery Agent, certificados de intercambio (XCHG) y claves para poder archivar las claves. El funcionamiento correcto de los certificados de Key Recovery Agent, de los certificados XCHG y de los proveedores de servicios de cifrado (CSP) necesarios para crearlos es importante para una infraestructura de clave pública.

Soluciones

Uso de un proveedor de servicios criptográficos compatible con el archivado y recuperación de claves

Es posible que no pueda usar herramientas administrativas para solucionar problemas causados por proveedores de servicios criptográficos, el componente del software que realiza el cifrado y otras tareas relacionadas para la generación de certificados de cifrado. Sin embargo, las tareas siguientes pueden revelar información de diagnóstico para asistir en el proceso de resolución:

• Identifique y pruebe su proveedor de servicios criptográficos.

• Si continúa teniendo problemas y está utilizando un proveedor distinto a Microsoft, póngase en contacto con el distribuidor para obtener información sobre la solución de problemas. 

• También puede restablecer el proveedor de claves de cifrado, pero también deberá revocar el certificado "Intercambio de CA" actual para que pueda emitirse uno nuevo basado en el nuevo proveedor.

• Si continúa teniendo problemas y está utilizando un proveedor de Microsoft, póngase en contacto con el servicio de soporte técnico y de atención al cliente de Microsoft.  

Identificación y prueba de proveedores de servicios criptográficos

Para llevar a cabo este procedimiento debe disponer de permiso para administrar CA o haber delegado la autoridad adecuada.

Para identificar y probar el proveedor de servicios criptográficos que esté utilizando:

• Abra una ventana del símbolo del sistema.

• Escriba certutil -getreg ca\EncryptionCSP y presione ENTRAR.

• Escriba certutil -csp <nombredelproveedor> -csptest y presione ENTRAR. Sustituya nombre del proveedor con el proveedor identificado en el resultado del paso 2.

• Si utiliza un proveedor de servicios criptográficos distinto a Microsoft, póngase en contacto con el distribuidor para obtener asistencia. En caso contrario, póngase en contacto con el servicio de soporte técnico y de atención al cliente de Microsoft.

Restablecimiento del proveedor de claves de cifrado predeterminado

Para llevar a cabo este procedimiento debe ser miembro del grupo local "Administradores" o haber delegado la autoridad adecuada.

Puede configurar la entidad de certificación (CA) para que utilice el proveedor predeterminado de Microsoft para cifrar los certificados; para ello, establezca la siguiente clave del Registro como "Microsoft Software Key Storage Provider".

Nota: Es posible que deba revocar el certificado "Intercambio de CA" actual, si hay solo uno, para que pueda emitirse uno nuevo basado en el nuevo proveedor. A continuación, reinicie la CA.

Para modificar un proveedor de claves de cifrado configurado:

Precaución: La modificación incorrecta del Registro puede dañar gravemente el sistema. Antes de realizar cambios en el Registro, haga una copia de seguridad de los datos importantes.

• En el equipo donde se hospeda la CA, haga clic en Inicio, escriba regedit y, a continuación, presione ENTRAR.

• Vaya a HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Nombre de entidad de certificación\EncryptionCSP\Provider.

• Cambie el valor actual por "Microsoft Software Key Storage Provider".

• Abra el complemento Entidad de certificación.

• En el árbol de consola, haga clic en Certificados emitidos.

• En el panel de detalles, seleccione el certificado "Intercambio de CA".

• En el menú "Acción", seleccione "Todas las tareas" y haga clic en "Revocar certificado".

• Seleccione el motivo para revocar el certificado, ajuste la hora de la revocación si es necesario y, a continuación, haga clic en Sí.

• Reinicie la CA.

Adicional

Para confirmar que el archivado y recuperación de claves funciona correctamente:

• En el equipo donde se hospede la CA, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Entidad de certificación.

• En el árbol de consola, haga clic con el botón secundario en el nombre de la entidad de certificación (CA) y, a continuación, haga clic en Propiedades.

• Haga clic en la ficha Agentes de recuperación.

• Confirme que todos los certificados de Key Recovery Agent sean válidos.

• En el contenedor de plantillas de certificado, confirme que el certificado de cifrado tenga seleccionada la opción Archivar clave privada de cifrado de sujeto en la ficha Control de solicitudes.

• Abra el complemento Certificados de la cuenta de usuario que posea permisos para inscribir un certificado basado en esta plantilla de certificado.

• En el árbol de consola, haga clic con el botón secundario en Personal, seleccione Todas las tareas y haga clic en Solicitar un nuevo certificado para iniciar el asistente para inscripción de certificados.

• Inscríbase a un certificado basado en la plantilla de cifrado y confirme que la inscripción se completa correctamente y que no se detectan errores.

• Cuando se complete la inscripción, abra el complemento Entidad de certificación.

• En el árbol de consola, haga clic en Certificados emitidos.

• Busque la entrada del certificado que acabe de emitir y agregue la columna Clave archivada a la lista de visualización de complementos.

• Confirme que la palabra Sí aparezca en la columna Clave archivada del certificado que se haya emitido.